Срочно. Microsoft выпустила локальный инструмент устранения рисков Exchange в один клик
Microsoft выпустила локальный инструмент устранения рисков Exchange в один клик. Фото: Pixabay
В этом месяце Microsoft сообщила, что при атаках на Microsoft Exchange активно использовались четыре уязвимости нулевого дня. Эти уязвимости известны под общим названием ProxyLogon и используются хакерами, чтобы заразить сервер веб-оболочками, программами шифровальщиками или заставить скомпрометированную систему майнить криптовалюты, сообщает компания.
Сегодня Microsoft выпустила сценарий PowerShell EOMT, чтобы владельцы малого бизнеса, у которых нет выделенных групп или групп безопасности, могли получить дополнительную помощь в обеспечении безопасности своих серверов Microsoft Exchange.
«Мы активно работаем с клиентами через наши группы поддержки клиентов, сторонних хостеров и партнёрскую сеть, чтобы помочь им защитить свои среды и отреагировать на связанные угрозы от недавних локальных атак на Exchange Server. На основе этих взаимодействий мы поняли, что существует потребность в простом, удобном, автоматизированном решении, которое отвечало бы потребностям клиентов, использующих как текущие, так и неподдерживаемые версии локального сервера Exchange Server», — объясняют представители Microsoft в корпоративном блоге.
EOMT.ps1 можно загрузить из репозитория GitHub от Microsoft.
Софт выполняет следующие задачи:
- Проверяет, уязвим ли сервер к уязвимостям ProxyLogogon.
- Устраняет уязвимость CVE-2021-26855 подделки запросов на стороне сервера (SSRF) путём установки модуля IIS URL Rewrite и правила регулярного выражения, которое прерывает любые соединения, содержащие заголовки файлов cookie X-AnonResource-Backend и X-BEResource.
- Загружает и запускает сканер безопасности Microsoft, чтобы удалить известные веб-оболочки и другие вредоносные сценарии, установленные через эти уязвимости. Затем сценарий удалит все обнаруженные вредоносные файлы.
После запуска сценария EOMT пользователи могут найти файл журнала в C: \ EOMTSummary.txt, в котором содержится информация о задачах, выполняемых инструментом.
Помимо запуска EOMT, администраторам рекомендуется запустить сценарий Test-ProxyLogon.ps1, чтобы также проверить индикаторы компрометации (IOC) в журналах Exchange HttpProxy, файлах журналов Exchange и журналах событий приложений Windows.
Комментариев пока не было